La filtración o hackeo de fechas de nacimiento y números de seguro social (SSN) es peligrosa porque esta información es crucial para verificar la identidad de una persona. Con acceso a la fecha de nacimiento y SSN de alguien, actores maliciosos pueden cometer robo de identidad. Cuando eso sucede, los actores amenazantes pueden solicitar crédito, vaciar tus cuentas bancarias u obtener servicios en el nombre de la víctima, lo que lleva a pérdidas financieras, daños en el historial crediticio y más.
Entonces, la próxima vez que estés en un bar tomando unas cervezas, por favor no digas “Hey, fui cliente de AT&T en 2021” y, diez segundos después, “Tengo un Bitcoin completo, ¡hermano, qué genial es eso!?” a un grupo de desconocidos.
De hecho, no le digas a nadie nada sobre tus finanzas. Y listo.
Intercambio de SIM, intercambio de eSIM
No nos volvamos paranoicos, pero cuanta más tecnología incorporemos en nuestras vidas, más opciones tienen los malhechores para robarnos. Ahora, dado que nos gusta tener y usar redes móviles, acceso a Internet, electricidad y todas las otras cosas buenas de la vida moderna, tendremos que ordenar las cosas y tomar precauciones.
Toda buena estrategia de defensa comienza por entender la estrategia de ataque de tu enemigo. En otras palabras, tendremos que entender lo que está sucediendo para tomar medidas.
Al hacerse pasar por ti mediante robo de identidad, los delincuentes podrían llevar a cabo lo que se conoce como intercambio de SIM.
El fraude de intercambio de SIM es un tipo de robo de identidad en el que los criminales engañan a un operador para transferir el número de teléfono de la víctima a una tarjeta SIM en posesión del impostor. Al hacerlo, el atacante obtiene control sobre las llamadas telefónicas, mensajes de texto y potencialmente acceso a servicios seguros que dependen de la autenticación basada en el teléfono, como la autenticación de dos factores (2FA) para cuentas bancarias o redes sociales.
Esto permite al criminal evitar las medidas de seguridad y acceder a información personal, en esencia, todas las llamadas y mensajes van al delincuente que puede hacerse pasar por la víctima y luego proceder con el vaciado de la cuenta bancaria.
En una nota aparte: Me pregunto cuántas de esas suplantaciones son ayudadas por la IA y sus maravillosas capacidades. Suspiro…
Entonces, ¿qué es un fraude de eSIM? En esencia, es lo mismo que el intercambio de SIM, solo que más fácil.
Eso se debe al hecho de que la eSIM (o SIM integrada) es una versión digital de una tarjeta SIM tradicional que te permite activar un plan celular sin tener que usar una tarjeta SIM física. Es más conveniente para los actores maliciosos, ya que no tienen que ir a la oficina de un operador. Todo es digital ahora.
La eSIM está integrada directamente en tu dispositivo, como un teléfono inteligente, smartwatch o tableta. Es un pequeño chip que ya está instalado en tu dispositivo y no necesitas insertarlo ni reemplazarlo. Para activarlo, generalmente escaneas un código QR proporcionado por tu operador móvil. Este proceso enlaza tu dispositivo con tu cuenta móvil sin la necesidad de cambiar físicamente las tarjetas SIM.
En general, la tecnología eSIM ofrece comodidad, flexibilidad y eficiencia, facilitando la gestión de tus servicios móviles directamente desde tu dispositivo.
“Desde la caída de 2023, los analistas de Protección contra Fraudes de F.A.C.C.T. han registrado más de cien intentos de acceder a las cuentas personales de clientes en servicios en línea de solo una organización financiera”, dice la firma de ciberseguridad F.A.C.C.T.
Los fraudes de intercambio de SIM están en aumento en 2024
Lamentablemente, hay muchos ejemplos únicamente en 2024 sobre el fenómeno de fraude de intercambio de SIM/eSIM.
Justo la semana pasada, toda una familia de cinco integrantes tuvo su cuenta de Cricket Wireless tomada y les robaron dinero de las aplicaciones financieras de la familia.
Sin embargo, Mike, su esposa y su familia de los suburbios de Chicago fueron bloqueados de sus cuentas de Amazon, redes sociales, inversiones y criptomonedas. Los piratas informáticos lograron hacer cambios no autorizados en el contenido del teléfono, agregando aplicaciones y alterando información de contacto. Además, la familia perdió $1,200 en criptomonedas, $2,000 en Apple Cash y Tarjetas de Regalo y apenas lograron evitar transferencias bancarias no autorizadas.
En febrero, un suscriptor de T-Mobile recibió un correo electrónico de su operador. En él, se indicaba que se había completado un cambio de SIM en su número. El problema es que nunca solicitó tal operación… Descubrió que la eSIM en su iPhone ya no estaba activa.
T-Mobile informó al usuario de la situación: una persona había entrado en una tienda de T-Mobile, no lejos de la residencia de la víctima, haciéndose pasar por ellos para obtener una nueva tarjeta SIM. Fue utilizada en el dispositivo del criminal. Durante una llamada con T-Mobile, la víctima recibió alertas de fraude de su banco, bloqueando intentos de comprar artículos de lujo en grandes almacenes.
El delincuente había cambiado la configuración de seguridad en la aplicación bancaria de la víctima, casi logrando comprar artículos por más de $10,000.
Para recuperar el control, la víctima tuvo que visitar personalmente una tienda de T-Mobile, donde un empleado reemplazó la SIM sin alertar al ladrón por mensaje de texto.
A menudo, tales fraudes de intercambio de SIM son llevados a cabo por empleados de operadores. Por ejemplo, un exgerente de una empresa de telecomunicaciones en Nueva Jersey se declaró culpable de cargos de conspiración por aceptar dinero para realizar intercambios de SIM no autorizados que permitieron a un cómplice hackear cuentas de clientes. Por realizar el traslado de número no autorizado, el criminal recibió $1,000 en Bitcoin por intercambio de SIM, más un porcentaje no especificado de las ganancias obtenidas del acceso ilícito a los dispositivos de las víctimas.
Es hora de desahogarse y anunciar mi total y completo apoyo a penas severas por tales actos.
En enero, Sharon Hussey perdió $17,000 a pesar de usar autenticación de dos factores (2FA) debido a un fraude de intercambio de SIM. Se enteró de una compra telefónica fraudulenta y cambios en la información de contacto de su cuenta bancaria, ninguno de los cuales ella inició. Su incapacidad para recibir códigos de 2FA, después de que un ladrón cambió su tarjeta SIM a un nuevo teléfono, llevó a que su servicio telefónico fuera cortado y al robo de $17,000 de su cuenta de Bank of America.
El fraude involucró al ladrón convenciendo a una tienda de Verizon de activar un nuevo teléfono con el número de Hussey, ganando control sobre sus cuentas protegidas por 2FA. La situación se agravó porque la dependencia de Hussey en 2FA inadvertidamente le dio al ladrón un acceso más fácil a sus cuentas. Después de negarse inicialmente, Bank of America finalmente reembolsó los $17,000 robados, destacando los peligros de los intercambios de SIM, especialmente para usuarios dependientes de 2FA para seguridad.
Limitaciones de la autenticación de dos factores (2FA)
La autenticación de dos factores (2FA) ofrece un impulso significativo en seguridad al requerir una segunda forma de identificación, haciendo que el acceso no autorizado a la cuenta sea mucho más difícil incluso si se compromete una contraseña.
Sin embargo, 2FA no está exenta de desventajas. Algunos usuarios encuentran el paso de inicio de sesión adicional molesto y la dependencia de dispositivos para la autenticación puede ser problemática si el dispositivo se pierde o no está disponible. La 2FA basada en SMS es susceptible a intercambio de SIM y a la interceptación, lo que puede socavar sus beneficios de seguridad. La implementación técnica de 2FA plantea desafíos para las organizaciones, requiriendo más infraestructura y educación del usuario.
Pros de la autenticación de dos factores (2FA):
Seguridad reforzada: Al requerir una segunda forma de identificación, 2FA dificulta significativamente que los usuarios no autorizados accedan a tus cuentas, incluso si conocen tu contraseña.Riesgo reducido de fraude: 2FA puede reducir drásticamente la probabilidad de robo de identidad y fraude ya que los atacantes necesitan algo más que credenciales de inicio de sesión robadas para obtener acceso.Opciones flexibles: 2FA ofrece varios métodos para el segundo factor, incluyendo mensajes de texto, aplicaciones autenticadoras y tokens de hardware, lo que permite a los usuarios elegir lo que les convenga mejor.
Contras de la autenticación de dos factores (2FA):Vulnerabilidad: La 2FA basada en SMS puede ser vulnerable a ataques de intercambio de SIM o interceptación, lo que potencialmente permite a los atacantes pasar por alto esta medida de seguridad.Inconveniente: Algunos usuarios encuentran métodos de 2FA, especialmente notificaciones por SMS o aplicaciones, molestos o que consumen mucho tiempo, ya que agrega un paso adicional al proceso de inicio de sesión.Dependencia de dispositivos: Métodos de 2FA que utilizan teléfonos o tokens pueden ser problemáticos si el dispositivo se pierde, se daña o no está inmediatamente accesible.
Lo que dice la FCC
En respuesta a la creciente amenaza de intercambio de SIM y fraudes de cambio de puerto, la Comisión Federal de Comunicaciones (FCC) ha implementado nuevas medidas a partir de julio para mejorar la protección del consumidor. Estos cambios requieren que los proveedores de servicios móviles verifiquen la identidad a fondo antes de que un número de teléfono pueda ser transferido a un nuevo dispositivo o operador. Además, las reglas harán posible notificar de inmediato a los usuarios de cualquier intento de cambiar su tarjeta SIM o portar su número.
Cómo protegerte del fraude de intercambio de SIM
Protegerte del fraude de intercambio de SIM es un asunto complejo. Es una forma de arte, si lo prefieres. Implica una combinación de vigilancia, conciencia y tomar medidas de seguridad proactivas:Controla lo que publicas en redes sociales: No publiques cada aspecto de tu vida en línea. Simplemente no lo hagas. Ten precaución al compartir información personal en las redes sociales. Los estafadores a menudo recopilan detalles personales para hacerse pasar efectivamente por las víctimas.Utiliza contraseñas fuertes y únicas: Lo has escuchado antes, pero… Para todas las cuentas, especialmente tu correo electrónico y cuenta de operador móvil, utiliza contraseñas fuertes y únicas y cámbialas regularmente.Habilita Autenticación de Dos Factores (MFA): Utiliza opciones de MFA que no dependan de SMS, como aplicaciones autenticadoras o tokens de hardware, para agregar una capa de seguridad adicional.Seguridad en tu cuenta móvil: Contacta a tu operador móvil para configurar medidas de seguridad adicionales, como un PIN o contraseña única que debe proporcionarse para hacer cambios en tu cuenta.Vigila tus cuentas: Esto suele ser descuidado. Revisa regularmente tu cuenta bancaria y otras cuentas sensibles en busca de actividad no autorizada. La detección temprana de fraudes puede limitar los daños. Dicho esto, ten cuidado de dónde revisas tus cuentas. Nunca sabes quién está mirando.No caigas en estafas de phishing: Ten cuidado con las llamadas, correos electrónicos o mensajes no solicitados que intentan extraer información personal o te instan a realizar acciones relacionadas con la seguridad.Contacta al operador inmediatamente: Si de repente tu teléfono pierde servicio, o no puedes hacer llamadas (o enviar mensajes de texto), contacta a tu operador de inmediato para verificar posibles fraudes de intercambio de SIM.Doble verificación: Puedes recibir mensajes de texto de alguien que se hace pasar por representante de tu operador. Por eso es crucial verificar cada comunicación entrante a través de otra línea de comunicación. Si un operador te está enviando mensajes sobre cambios, no hagas nada y llámalos (no envíes mensajes de texto) para confirmar si es cierto. Si tu teléfono es secuestrado, las comunicaciones entrantes podrían ser de los actores maliciosos.
No existe un sistema (o teléfono) 100% seguro. Pero, ¡vamos, no le facilitemos las cosas a los estafadores que están allí afuera! Tomemos precauciones.